CURSO COBIT® 5.0 FUNDAMENTOS - · PDF fileentre la realización de beneficios y la...

CURSO COBIT® 5.0 FUNDAMENTOS

MATERIAL ACADÉMICO

1

CURSO

COBIT 5.0FUNDAMENTOS

MARCO TEÓRICO

Aclaración:©Todos los derechos reservados. No está permitida la

reproducción parcial o total del material de esta sesión, nisu tratamiento informático, ni la transmisión de ningunaforma o por cualquier medio, ya sea electrónico, mecánico,por fotocopia, por registro u otros métodos, sin el permisoprevio y por escrito del titular de los derechos.

Atte.

CGI GESTIÓN E INNOVACIÓN

CURSO COBIT 5.0 FUNDAMENTOS

2

Estructura del Curso• Propósito del curso

• Aprendizaje de alto nivel en COBIT 5.

• Estructura del material

• Áreas de aprendizaje en COBIT 5.

• Requisitos para el examen de acreditación


Propósito del Curso

• Confirmar que un candidato tiene el suficienteconocimiento y comprensión de las guías de COBIT 5que le permitan entender el Gobierno y la Gestión delas Tecnologías de Información (TI)

• El entrenamiento y acreditación a nivel“Fundamentos” es un pre-requisito para lossiguientes cursos de entrenamiento y acreditación:

– COBIT 5 Implementación

– COBIT 5 Asesor


3

Resultados del aprendizaje de alto nivelEspecíficamente comprender lo siguiente:

• Los drivers más importantes para el desarrollo del Framework

• La arquitectura de COBIT 5 y los beneficios para el negocio

• Los 5 principios clave de COBIT 5 para el Gobierno y la Gestiónde TI

• Comprender los conceptos clave en una Evaluación deCapacidad de Procesos, y los atributos claves del Modelo deevaluación de Procesos (PAM)

• Cómo es que los procesos de COBIT 5 y el Modelo deReferencia de Procesos (PRM) ayudan a guiar laimplementación de los 5 principios y los 7 catalizadores deGobierno y Gestión


Estructura del material

El material se distribuye en:

• Principios

• Catalizadores

• Implementación

• Modelo de capacidad de procesos

Se basa en las guías de COBIT 5:

• El marco de referencia para el Gobierno y la Gestión de TI

• El modelo de Evaluación de Procesos (PAM)

• Extractos de la Guía de Implementación de Procesos


4

Para qué sirve??


COBIT 5: Características Principales de

COBIT 5


5

Definición• Dicho en pocas palabras, COBIT 5 ayuda a las Organizaciones a

crear un valor óptimo a partir de la TI, al mantener un equilibrio entre la realización de beneficios y la optimización de los niveles de riesgo y utilización de los recursos.

• COBIT 5 permite que las tecnologías de la información y relacionadas se gobiernen y administren de una manera holística a nivel de toda la Organización, incluyendo el alcance completo de todas las áreas de responsabilidad funcionales y de negocios, considerando los intereses relacionados con la TI de las partes interesadas internas y externas.

• Los principios y habilitadores de COBIT 5 son genéricos y útiles para las Organizaciones de cualquier tamaño, bien sean comerciales, sin fines de lucro o en el sector público.


Principios de COBIT

Principios de COBIT 5

1. Satisfacer lasnecesidades de

las partesinteresadas

2. Cubrir la Organización de

forma integral

3. Aplicar un solo marcointegrado

4. Habilitarun enfoque

holistico

5. Separar el Gobierno de la Administración

Fuente: COBIT® 5, Figura 2. © 2012 ISACA® Todos los derechos reservados.


6

Habilitadores (catalizadores) de COBIT

1. Principios, Políticas y Marcos

2. Procesos 3. Estructuras Organizacionales

4. Cultura, Éticay Comportamiento

5. Información

6. Servicios,Infraestructuray Aplicaciones

7. Personas,Habilidades yCompetencias

RECURSOS

Fuente: COBIT® 5, Figura 12. © 2012 ISACA® Todos los Derechos Reservados


www.cgi-pe.com

Gobierno y Administración• El Gobierno asegura el logro de los objetivos de la

Organización, al evaluar las necesidades de las partes interesadas, así como las condiciones y opciones; fijando directivas al establecer prioridades y tomar decisiones; así como monitorear el desempeño, cumplimiento y progreso, comparándolos contra las directivas y objetivos acordados (Evaluate, Direct and Monitor -EDM).

• La Administración planifica, construye, ejecuta y monitorea las actividades conforme a las directivas fijadas por el ente de Gobierno para lograr los objetivos de la Organización (PBRM por su sigla en inglés – PCEM)


7

En Resumen:

COBIT 5 une los cinco principios que permiten a laOrganización construir un marco efectivo de Gobierno yAdministración basado en una serie holística de sietehabilitadores, que optimizan la inversión en tecnología einformación así como su uso en beneficio de las partesinteresadas.


⁻ COBIT es un marco de gobierno de las tecnologías de información queproporciona una serie de herramientas para que la gerencia puedaconectar los requerimientos de control con los aspectos técnicos y losriesgos del negocio

⁻ COBIT permite el desarrollo de las políticas y buenas prácticas para elcontrol de las tecnologías en toda la organización

⁻ COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones aincrementar su valor a través de las tecnologías, y permite sualineamiento con los objetivos del negocio

⁻ Información disponible en: www.isaca.org/cobit

COBIT – el marco de ISACA

© 2012 ISACA. All rights reserved.


8

GRCGRC:

• Gobierno, administración del Riesgo y Cumplimiento.

• Término sombrilla, cada vez más utilizado que cubreestas tres áreas de actividades de las empresas.

• Estas áreas de actividad están siendo progresivamentemás alineados e integrados para mejorar elrendimiento de la empresa y la entrega de lasnecesidades de las partes interesadas.


Definiciones GRC*GRC:

• Gobierno—El ejercicio de la autoridad, control, gobierno, acuerdo.

• Riesgo (Administración)—Peligro, riesgo de pérdida, daño o destrucción (el acto o arte de la gestión, la manera de tratar, dirigir, seguir adelante, o utilizar, con un propósito, conducta, administración, dirección, control)

• Cumplimiento—El acto de cumplimiento, un rendimiento, en cuanto a su deseo, demanda o propuesta; concesión; presentación

* Diccionario en línea Webster


9

Tipos de Gobierno

• Existen diferentes tipos de gobierno:– Gobierno Corporativo

– Gobierno de Proyectos

– Gobierno de Tecnologías de Información

– Gobierno Ambiental

– Gobierno Económico y Financiero

• Cada tipo tiene una o más fuentes de orientación, cada uno con objetivos similares pero con frecuencia varían términos y las técnicas para su realización.


Implementando Gobierno

• La integración de la aplicación de las actividades de GRCdentro de una empresa requiere un enfoque sistémicopara el eficaz logro de los objetivos empresariales de susgrupos de interés.

• Estos enfoques se basan normalmente en facilitadores dediversos tipos (por ejemplo, los principios, las políticas,modelos, marcos, estructuras organizacionales).


10

Un ejemplo de modelo GRC• Del Red Book GRC de OCEG Capability Model

version 2.1*

* Contiene material copiado o derivado de The Red Book de OCEG en http://www.oceg.org.


Gobierno Corporativo de TI• ISO/IEC 38500: 2008

• Gobierno Corporativo de Tecnología de Información• 1.1 Alcance

• Este estándar establece los principios rectores para directores de organizaciones (incluyendo propietarios, miembros del consejo, directores, socios, ejecutivos de alto nivel, o similar) sobre el uso eficaz, eficiente y aceptable de la tecnología de la información (TI) dentro de sus organizaciones.

• Esta norma se aplica a la gestión de los procesos de gestión (toma de decisiones) relativas a los servicios de información y comunicación utilizados por una organización. Estos procesos pueden ser controlados por especialistas en TI dentro de la organización o de los proveedores de servicios externos, o por unidades de negocio dentro de la organización.


11

ISO/IEC 38500: 2008

Gobierno Corporativo de Tecnología de Información

2.1 Principios

2.1.1 Principio 1: Responsabilidad2.1.2 Principio 2: Estrategia2.1.3 Principio 3: Adquisición2.1.4 Principio 4: Desempeño2.1.5 Principio 5: Conformidad2.1.6 Principio 6: Comportamiento Humano

Gobierno Corporativo de TI (cont.)


ISO/IEC 38500: 2008

Gobierno Corporativo de Tecnología de Información

2.2 Modelo

Los administradores deben gobernar las TI a través de tres tareas principales:a) Evaluar el uso actual y futuro de TI.b) Preparación directa y la aplicación de planes y políticas para garantizar que el uso de las TI cumple con los objetivos de negocio.c) Monitorear la conformidad de las políticas, y el desempeño contra los planes.

Gobierno Corporativo de TI (cont.)


12

ISACA y COBIT

• ISACA promueve activamente la investigación que se traduce en el desarrollo de productos relevantes y útiles para los profesionales de Gobierno de TI, riesgo, control, aseguramiento y seguridad.

• ISACA desarrolla y mantiene el internacionalmentereconocido marco de referencia COBIT, ayudar a los profesionales de TI y líderes empresariales a cumplir consus responsabilidades de gobierno de TI, mientras que la entrega de valor al negocio.


Gobierno Corporativo de TI

COBIT 5

Gobierno de TI

COBIT4.0/4.1

Administración

COBIT3

Control

COBIT2

Un Marco Empresarial de ISACA, en www.isaca.org/cobit

Auditoría

COBIT1

Evolución del COBIT: COBIT 5 un único Marco Empresarial Completofor

2005/720001998

Evo

luci

ón d

el A

lcan

ce

1996 2012

Val IT 2.0(2008)

Risk IT(2009)

© 2012 ISACA® Todos los derechos reservados.


13

Marco de COBIT 5

COBIT 5:

• El producto principal COBIT 5, de amplia cobertura

• Contiene el resumen ejecutivo y la descripción completa de todoslos componentes del marco de COBIT 5:

– Los 5 Principios de COBIT 5

– Los 7 Habilitadores de COBIT 5, más:

– Una introducción a la guía de implementación proporcionadapor ISACA (Implementación de COBIT 5)

– Una introducción al Programa de Evaluación de COBIT (que nose refiere específicamente al COBIT 5) y el enfoque de lacapacidad de los procesos que ISACA adopta para COBIT.


� En Cobit 4 se tenían 34 procesoscon el esquema de la figura delcostado

� En Cobit 5 se muestra así (Ej. Pág107-Procesos Catalizadores).

Descripción del proceso

Indicadores de información y domino

Objetivos de TIObjetivos del ProcesoPrácticas ClaveMétricas

Gobierno y recursos de TI

Para cada uno de los 37 procesos, se definen…


14

La Familia de Productos de COBIT 5

Fuente COBIT® 5, Figura 11. © 2012 ISACA® Todos los Derechos Reservados.

COBIT®

5 ImplementaciónOtras Guías

Profesionales

COBIT® 5 Ambiente Colaborativo En Línea

Guías de Habilitadores de COBIT® 5

COBIT®

5:

Procesos Habilitadores

Otras Guías

Habilitadoras

COBIT ® 5

Información Habilitadora

COBIT®

5

Para la Seguridadde la Información

COBIT ® 5

Para elAseguramiento

COBIT®

5

Para Riesgos

COBIT®

5 :

Guias Profesionales de Orientación de COBIT® 5


COBIT 5 – Su Arquitectura



15

Objetivo de Gobierno



COBIT 5: 5 Principios de COBIT


16

Los 5 Principios de COBIT

Los 5 Principios de COBIT 5:

1. Satisfacer las necesidades de las Partes Interesadas

2. Cubrir la Compañía de forma integral (end to end)

3. Aplicar un solo Marco de referencia simple e

Integrado

4. Habilitar un Enfoque holístico

5. Separar el Gobierno de la Administración (gestión)


1. Satisfacer las Necesidades de las Partes Interesadas

Principio 1: Satisfacer las Necesidades de las Partes Interesadas

• Las Compañías existen para crear valor para sus partes interesadas.

Fuente: COBIT® 5, Figura 3. © 2012 ISACA® Todos los derechos reservados.

Necesidades de las partesinteresadas

Objectivos del Gobierno: Creación de Valor

Realización

de Beneficios

Optimización

de Recursos

Optimización

de Riesgos


17

Principio 1: Satisfacer las Necesidades de las Partes Interesadas:• Las Organizaciones tienen muchas partes interesadas y “crear valor”

significa cosas diferentes – a veces conflictivas – para cada una de ellas.• En el Gobierno se trata de negociar y decidir entre los diversos

intereses de beneficio de las diferentes partes interesadas.• El sistema de Gobierno deberá considerar a todas las partes

interesadas al tomar decisiones con respecto a la evaluación de riesgos, los beneficios y el manejo de recursos.

• Para cada decisión se puede, y se debe, hacer las siguientes preguntas: - ¿Quién recibe los beneficios? - ¿Quién asume el riesgo? - ¿Qué recursos se necesitan?

1. Satisfacer las Necesidades de las Partes Interesadas (cont.)


Principio 1: Satisfacer las Necesidades de las Partes Interesadas:

� Las necesidades de las Partes Interesadas deben ser transformadas en una estrategiaaccionable para la Organización.

� Las metas en cascada de COBIT 5 traducen las necesidades de las Partes Interesadas en metas específicas, accionables y personalizadas dentro del contexto de la Organización, de las metas relacionadas con la TI y de las metas habilitadoras.

Fuente: COBIT® 5, Figura 4. © 2012 ISACA® Todos los derechos reservados

Pasan a

Influencian

Pasan a

Impulsadores de las Partes Interesadas(Medio Ambiente, Evolución Tecnológica, …)

Metas de la Organización

Metas Relacionadas con TI

Metas Habilitadoras

Realizaciónde Beneficios

Optimizaciónde Riesgos

Optimizaciónde Recursos

Necesidades de las Partes Interesadas



18

Principio 1: Satisfacer las Necesidades de las Partes Interesadas:Los beneficios de las Metas en Cascada de COBIT 5:• Permite definir las prioridades para implementar, mejorar y asegurar el

gobierno corporativo de la TI, en base de los objetivos (estratégicos) de la Organización y los riesgos relacionados:

• En la práctica, las metas en cascada:– Definen los objetivos y las metas tangibles y relevantes, en diferentes

niveles de responsabilidad.– Filtran la base de conocimiento de COBIT 5, en base de las metas

corporativas para extraer una orientación relevante para la inclusión en los proyectos específicos de implementación, mejora o aseguramiento.

– Claramente identifican y comunican qué importancia tienen los habilitadores (algunas veces muy operacionales) para lograr las metas corporativas.



• La cascada de metas de COBIT permite definir las prioridades de acuerdo a:

• Aseguramiento del gobierno corporativo de TI• Implementación• Mejora

• En la práctica, la cascada de metas:• Define las metas y objetivos relevantes y tangibles en los

diversos niveles de responsabilidad• Filtra la base de conocimiento de COBIT, basado en las metas

corporativas, a fin de orientar la información relevante a incluir en proyectos específicos de aseguramiento, implementación o mejora

• Identifica y comunica claramente como se usan los catalizadores para alcanzar los objetivos de la empresa



19



Partes interesadas Externas Necesidades de las Partes interesadas externas

Socios de negocio, proveedores, accionistas, reguladores/ gobierno, usuarios externos, clientes, organismos de normalización, auditores externos, consultores, etc.

• ¿Cómo sé que las operaciones de mi socio de negocios son seguras y confiables?

• ¿Cómo sé que la organización cumple con las leyes y regulaciones aplicables?

• ¿Cómo sé que la empresa mantiene un sistema efectivo de control interno?

• Las preocupaciones de las partes interesadas internas, respecto de TI, incluyen:

• ¿Cómo puedo obtener valor del uso de la TI?• ¿Cómo gestiono el desempeño de las TI?• ¿Cómo puedo explotar mejor una nueva tecnología para mis

oportunidades estratégicas?• ¿Cómo puedo saber si estoy cumpliendo con todas las leyes y

regulaciones aplicables?• ¿Cómo controlo el costo de TI?• ¿La información que estoy procesando esta asegurada de

manera adecuada?• ¿Qué tan critica son las TI para sostener la empresa?• ¿Qué debo hacer si las TI no están disponibles?



20

• COBIT 5 trata de gobierno y la gestión de la información y la tecnología relacionada desde una perspectiva de extremo a extremo en toda la empresa

• Integra el gobierno de TI dentro del gobierno corporativo• Cubre todas las funciones y procesos dentro de la empresa• No se enfoca sólo en la función de TI



• Paso 1: identificar la influencia de las motivaciones de losstakeholders clave en las necesidades de dichos stakeholders

• Paso 2: las necesidades de los stakeholders se traducen en lasmetas corporativas (siguiente diapositiva)

• Paso 3: Cascada de metas corporativas relacionadas conmetas de TI

• Paso 4: Cascada de metas de TI hacia las metas de loscatalizadores

Principio 1. Pasos de la cascada


21





• Paso 3: Cascada de metas corporativas relacionadas con metas de TI

22

2. Cubrir la Compañía de Forma Integral

Principio 2: Cubrir la Compañía de Forma Integral:

• COBIT 5 se concentra en el gobierno y la administración de la tecnología dela información y relacionadas desde una perspectiva integral a nivel de todala Organización.

• Esto significa que COBIT 5:

– Integra el gobierno de la TI corporativa en el gobierno corporativo, o sea,el sistema de gobierno para la TI corporativa propuesto por COBIT 5 seintegra, de una manera fluida, en cualquier sistema de gobierno, todavez que COBIT 5 está alineado a los últimos desarrollos en gobiernocorporativo.

– Cubre todas las funciones y los procesos dentro de la Organización;COBIT 5 no solamente se concentra en la “Función de la TI”, sino tratala tecnología de la información y relacionadas como activos quenecesitan ser manejados como cualquier otro activo, por todos en laOrganización.


Principio 2: Cubrir la Compañía de Forma Integral

Los componentes / elementos Claves de un Sistema de

Gobierno

Fuente COBIT® 5, Figura 9. © 2012 ISACA® Todos los derechos reservados.

Fuente COBIT® 5, Figura 8. © 2012 ISACA® Todos los derechos reservados.

Objectivo del Gobierno: Creación de Valor

Realizaciónde Beneficios

Optimizaciónde Riesgos

Optimización de Recursos

Habilitadores de Gobierno

Alcance del Gobierno

Roles, Actividades y Relaciones

Dueños y Partes

Interesadas

Ente Regulador

AdministraciónOperaciones

yEjecución

Roles, Actividades y Relaciones

Delegan Fijar Directivas

MonitorearRendición de Cuentas

Informar

Instruir y Alinear

2. Cubrir la Compañía de Forma Integral (cont.)


23

Elementos principales del enfoque de gobierno• Los catalizadores de gobierno comprenden:

• La estructura organizativa• Los recursos de la empresaEn su defecto, la falta de catalizadores puede afectar lacapacidad de la empresa para crear valor.

• El alcance del gobierno puede comprender:• Toda la empresa• Una entidad, activos tangibles o intangibles

Principio 2. Cubrir la empresa de extremo a extremo


• Roles, actividades y relaciones de gobierno• Definir quién esta involucrado en el gobierno• ¿Cómo se involucran?• ¿Qué hacen? Y• ¿Cómo interactúan?

• COBIT 5 define la diferencia entre las actividades de gobiernoy gestión en el principio 5.

Principio 2. Cubrir la empresa de extremo a extremo


24

3. Aplicar un único Marco Integrado

Principio 3. Aplicar un único Marco Integrado :

• COBIT 5 está alineado con los últimos marcos y normas relevantes usados por las organizaciones:

– Corporativo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000

– Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF, PMBOK/PRINCE2, CMMI

– Etc.

• Así se permite a la Organización utilizar COBIT 5 como integrador macro en el marco de gobierno y administración.

• ISACA está desarrollando el modelo de capacidad de los procesos para facilitar al usuario de COBIT el mapeo de las prácticas y actividades contra los marcos y normas de terceros.


Principio 3. Aplicar un marco de referencia simple e integrado


25

4. Habilitar un Enfoque Holístico

Principio 4. Habilitar un Enfoque Holístico

Los Habilitadores de COBIT 5 son:

• Factores que individual y colectivamente, influyensobre si algo funcionará – en el caso de COBIT,Gobierno y Administración sobre la TI corporativa.

• Impulsados por las metas en cascada, o sea: lasmetas de alto nivel relacionadas con la TI definen quédeberían lograr los diferentes habilitadores.

• Descritos por el marco de COBIT 5 en sietecategorías.


4. Habilitar un Enfoque Holístico (cont.)


Fuente: COBIT® 5, Figura 12. © 2012 ISACA® Todos derechos reservados.

1. Principios, Políticas y Marcos

2. Procesos 3. Estructuras Organizacionales

4. Cultura, Éticay Comportamiento

5. Información6. Servicios,

Infraestructuray Aplicaciones

7. Personas,Habilidades

y Competencias

RECURSOS


26

Principio 4. Habilitar un Enfoque Holístico:1. Procesos – Describen una serie organizada de prácticas y actividades para lograr

determinados objetivos y producir una serie de resultados como apoyo al logro de lasmetas globales relacionadas con la TI.

2. Estructuras Organizacionales – Constituyen las entidades claves para la toma de decisionesen una organización.

3. Cultura, Ética y Comportamiento – De los individuos así como de la organización; sesubestima frecuentemente como factor de éxito en las actividades de gobierno yadministración.

4. Principios, Políticas y Marcos – Son los vehículos para traducir el comportamiento deseadoen una orientación práctica para la administración diaria.

5. Información – Se encuentra presente en todo el ambiente de cualquier organización; o sease trata de toda la información producida y usada por la Organización. La información esrequerida para mantener la organización andando y bien gobernada, pero a niveloperativo, la información frecuentemente es el producto clave de la organización en si.

6. Servicios, Infraestructura y Aplicaciones – Incluyen la infraestructura, la tecnología y lasaplicaciones que proporcionan servicios y procesamiento de tecnología de la información ala organización.

7. Personas, Habilidades y Competencias – Están vinculadas con las personas y sonrequeridas para completar exitosamente todas las actividades y para tomar las decisionescorrectas, así como para llevar a cabo las acciones correctivas.



Principio 4. Habilitar un Enfoque Holístico:• Administración y Gobierno sistémico mediante

habilitadores interconectados – Para lograr los objetivosprincipales de la Organización, siempre debeconsiderarse una serie interconectada de habilitadores, osea, cada habilitador:– Necesita una entrada de otros habilitadores para ser

completamente efectivo, o sea, los procesos necesitaninformación, las estructuras organizacionales necesitanhabilidades y comportamiento.

– Entrega un producto de salida a beneficio de otroshabilitadores, o sea, los procesos entregan información, lashabilidades y el comportamiento hacen que los procesossean eficientes.

• Esto constituye un principio CLAVE que surge del trabajode desarrollo de ISACA en el Modelo de Negocios para laSeguridad de la Información (BMIS por su sigla en inglés).



27


Las Dimensiones Habilitadores de COBIT 5:

• Todos los habilitadores tienen una serie de dimensiones comunes. Dicha serie de dimensiones comunes:– Proporciona una manera común, sencilla y estructurada para tratar los

habilitadores

– Permite a una entidad manejar sus interacciones complejas

– Facilita resultados exitosos de los habilitadores





Métricas para el Logro de las Metas(Indicadores de Resultados)

Métricas para la Aplicación de Prácticas(Indicadores de Desempeño)

¿Se aplican Buenas Prácticas?¿Se administra el Ciclo de Vida?¿Se Logran las Metas de los Habilitadores?¿Se atienden las Necesidades de las

Partes Interesadas?

Dim

ensi

ónde

Hab

ilita

dore

sA

dmin

istr

ació

nde

l Des

empe

ñode

los

Hab

ilita

dore

s

Partes Interesadas Metas Ciclo de Vida Buenas Prácticas

• Internas• Externas

• Calidad Intrínseca• Calidad Contextual

(Relevancia,Efectividad)

• Accesabilidad ySeguridad

• Planificar• Diseñar•Construir/Adquirir/

Crear/Implementar• Usar/Operar• Evaluar/Monitorear• Actualizar/Disponer

• Prácticas• Productos de Trabajo

(Entradas/Salidas)

28


Principio 5. Separar el Gobierno de la Administración:• El marco de COBIT 5 plasma una distinción muy

clara entre el Gobierno y la Administración.• Dichas dos disciplinas:

– Comprenden diferentes tipos de actividades– Requieren diferentes estructuras organizacionales– Cumplen diferentes propósitos

• Gobierno— En la mayoría de las organizacionesel Gobierno es responsabilidad de la JuntaDirectiva bajo el liderazgo de su Presidente.

• Administración— En la mayoría de lasorganizaciones, la Administración esresponsabilidad de la Gerencia Ejecutiva, bajo elliderazgo del Gerente General (CEO).


Principio 5. Separar el Gobierno de la Administración:• El Gobierno asegura que se evalúen las necesidades de las partes

interesadas, así como las condiciones y opciones, para determinar losobjetivos corporativos balanceados acordados a lograr; fijando directivasal establecer prioridades y tomar decisiones; así como monitorear eldesempeño, cumplimiento y progreso comparándolos contra lasdirectivas y objetivos fijados (EDM).

• La Administración planifica, construye, ejecuta y monitorea lasactividades conforme a las directivas fijadas por el ente de Gobierno paralograr los objetivos de la Compañía (PBRM por su sigla en inglés – PCEM).

5. Separar el Gobierno de la Administración (cont.)


29

Principio 5. Separar el Gobierno de la Administración:COBIT 5 no es obligatorio, pero propone que las organizaciones implementen los procesos de

gobierno y administración de tal manera que las áreas claves queden cubiertas, tal como se muestra a continuación:


Administración

Gobierno

Necesidades del Negocio

Retroalimentación GerencialMonitorearDirijir

Evaluar

Planificar(APO)

Construir(BAI)

Operar(DSS)

Monitorear(MEA)



Principio 5. Separar el Gobierno de la Administración:� El marco de COBIT 5 describe siete categorías de habilitadores (Principio

4). Los procesos constituyen una categoría.

� Una compañía puede organizar sus procesos como estime conveniente, siempre y cuando queden cubiertos todos los objetivos necesarios de gobierno y administración. Las compañías más pequeñas podrán tener menos procesos, las compañías más grandes y más complejas podrán tener muchos procesos, todos para cubrir los mismos objetivos.

� COBIT 5 incluye un Modelo de Referencia de Procesos (PRM por su sigla en inglés), que define y describe en detalle un número de procesos de administración y de gobierno. Los detalles de dicho modelo habilitador específico pueden encontrarse en el Volumen de COBIT 5: Procesos

Habilitadores.



30



• Modelo de Referencia de Procesos

COBIT 5: 7 Habilitadores de COBIT


31

COBIT 5: Procesos Habilitadores• COBIT 5: Procesos Habilitadores complementa COBIT 5 y

contiene una guía detallada de referencias a los procesosdefinidos en el Modelo de Referencia de Procesos de COBIT 5:

– En el Capítulo 2 se recapitula las metas en cascada deCOBIT 5 y se complementa con una serie de métricasejemplo para las metas corporativas y las metasrelacionadas con la TI.

– En el Capítulo 3 se explica el Modelo de Procesos de COBIT5 y se definen sus componentes.

– En el Capítulo 4 se muestra el diagrama de dicho Modelode Referencias de Procesos.

– El Capítulo 5 contiene la información detallada de procesospara todos los 37 procesos de COBIT 5 en el Modelo deReferencias de Procesos.




Métricas para el Logro de las Metas(Indicadores de Resultados)

Métricas para la Aplicación de Prácticas(Indicadores de Desempeño)

¿Se Aplican Buenas Prácticas?¿Se Administra el Ciclo de Vida?¿Se logran las Metas de los Habilitadores?

¿Se Atienden las Necesidadesde las Partes Interesadas?

Dim

ensi

ón d

e H

abili

tado

res

Adm

inis

trac

ión

del D

esem

peño

de

los

Hab

ilita

dore

s

Partes Interesadas Metas Ciclo de Vida Buenas Prácticas

• Internas• Externas

• Calidad Intrínseca• Calidad Contextual

(Relevancia,Efectividad)

• Accesabilidad ySeguridad

• Planificar• Diseñar•Construir/Adquirir/

Crear/Implementar• Usar/Operar• Evaluar/Monitorear• Actualizar/Disponer

Prácticas genéricas paralos procesos

• Prácticas del Proceso,Actividades, Actividadesdetalladas

• Productos de Trabajo(Entradas/Salidas)

COBIT 5: Procesos Habilitadores (cont.)

32

Evaluar, Dirigir y Monitorear Procesos para el Gobierno Corporativo de TI

Procesos para la Administración de TI Corporativa

Alinear, Planear y Organizar

Construir, Adquirir e Implementar

Entregar, Servir y Dar Soporte

Monitorear, Evaluary Valorar

EDM01 Asegurarque se fija el Marco de Gobierno y su Mantenimiento

EDM02 Asegurarla Entrega de Valor

EDM03 Asegurarla Optimización de

los Riesgos


los Recursos

EDM05 Asegurarla Transparencia a

las partes interesadas

APO01 Administrar el Marco de la

Administración de TI

APO02 Administrarla Estrategia

APO04 Administrar la Innovación

APO03 Administrarla Arquitectura

Corporativa

APO05 Administrar el Portafolio

APO06 Administrarel Presupuesto y los

Costos

APO07 Administrar el Recurso Humano

APO08 Administrar las Relaciones

APO09 Administrar los Contratos de

Servicios

APO11 Administrarla Calidad

APO10 Administrarlos Proveedores

APO12 Administrar los Riesgos

APO13 Administrar la Seguridad

BAI01 AdministrarProgramas y

Proyectos

BAI02 Administrarla Definición de Requerimientos

BAI04 Administrar la Disponibilidad y

Capacidad

BAI03 Administrarla Identificación y Construcción de

Soluciones

BAI05 Administrar la Habilitación del

Cambio

BAI06 Administrar Cambios

BAI07 Administrar la Aceptación de

Cambios y Transiciones

BAI08 Administrar el Conocimiento

BAI09 Administrar los Activos

BAI10 Admnistrar la Configuración

DSS01 Administrar las Operaciones

DSS02 Administrar las Solicitudes de

Servicios y los Incidentes

DSS04 Administrar la Continuidad

DSS03 Administrar Problemas

DSS05 Administrar los Servicios de

Seguridad

DSS06 Administrar los Controles en los

Procesos de Negocio

MEA01 Monitorear, Evaluar y Valorar el

Desempeño y Cumplimiento

MEA02 Monitorear, Evaluar y Valorar el Sistema de Control

Interno

MEA03 Monitorear, Evaluar y Valorar el Cumplimiento con

Requisitos Externos



COBIT 5: Procesos Habilitadores:

• El Modelo de Referencia de Procesos de COBIT 5 subdivide las actividadesy prácticas de la Organización relacionadas con la TI en dos áreasprincipales – Gobierno y Administración – con la Administración a su vezdividida en dominios de procesos:

• El Dominio de GOBIERNO contiene cinco procesos de gobierno;dentro de cada proceso se definen las prácticas para Evaluar, Dirigir yMonitorear (EDM).

• Los cuatro dominios de la ADMINISTRACIÓN están alineados con lasáreas de responsabilidad de Planificar, Construir, Operar y Monitorear(PBRM por su sigla en inglés).



33

1. Principios, políticas y marcos de referencia2. Procesos3. Estructuras organizativas4. Cultura, ética y comportamiento5. Información6. Servicios, infraestructura y aplicaciones7. Personas, habilidades y competencias

Habilitadores


• El propósito de este catalizador es transmitir la dirección einstrucciones de la entidad de gobierno y de la gerenciapues son instrumentos para comunicar las reglas de laempresa en apoyo a los objetivos de gobierno y valores dela empresa, según lo definido por la Alta dirección:• Diferencias entre principios y políticas• Los principios deben ser limitados en número• Expresar los valores fundamentales de la empresa en un

lenguaje claro y sencillo• Las políticas son directrices sobre cómo poner los

principios en práctica

Habilitador 1: Principios, políticas y marcos de referencia


34

• Las características de las buenas políticas deberíanconsiderar:• Ser efectivas: lograr su propósito• Ser eficientes, especialmente al implementarlas• No ser intrusivas, debe tener sentido y lógica para quienes tienen

que cumplir con ellas

• Las políticas deben tener un mecanismo (marco dereferencia) establecido donde puedan ser administradaseficazmente y los usuarios puedan saber donde ir.Específicamente deben ser:• Integrales, abarcando todas las áreas necesarias• Abiertas y flexibles, permitiendo cambios y adaptaciones fáciles• Vigentes y actualizadas

• El ciclo de vida de las políticas debe servir para definir eimplementar objetivos alcanzables



• Las requisitos de buenas prácticas para las políticas y marcosde referencia, son importantes, específicamente:• Su alcance• Las consecuencias de no cumplir con la política• Los medios en el manejo de excepciones• Como se monitorean

• Los vínculos y relaciones entre los principios, políticas ymarcos de referencia y otros catalizadores:• Los principios, políticas y marcos de referencia reflejan la cultura,

ética y valores de la empresa• Los procesos son el vehículo más importante para la ejecución de

las políticas• Las estructuras organizacionales pueden definir e implementar

políticas• Las políticas son parte de la información



35

• El catalizador Procesos complementa COBIT 5 conteniendouna guía de referencia detallada a los procesos definidos enel modelo de referencia de procesos de COBIT 5:• La cascada de metas esta revisada y complementada con un

conjunto de métricas de ejemplo para las metas corporativas y lasmetas de TI

• La guía de catalizador “Procesos”, contiene la información en detallepara los 37 procesos de COBIT 5, mostrados en el modelo dereferencia de procesos (MRP)

Habilitador 2: Procesos


• El modelo de referencia de procesos de COBIT 5 subdividelas practicas y las actividades de TI en dos áreas principales– gobierno y gestión – con las gestión dividida, a su vez, endominios de procesos:• El dominio de GOBIERNO contiene cinco procesos; dentro de cada

proceso, se define el evaluar, orientar y supervisar las practicas(EDM)

• Los cuatros dominios de GESTIÓN están alineados con las áreas deresponsabilidad de planificar, construir, ejecutar y supervisar(PBRM)



36

• La estructura de cada proceso se compone de:• Descripción• Declaración de propósito• Metas de TI (de la cascada de metas)• Cada meta de TI se asocia con una serie de métricas genéricas relacionadas• Metas del proceso (también de la cascada de metas), se conoce como

metas del catalizador• Cada meta del proceso está asociada o relacionado con un conjunto de

métricas genéricas• Cada proceso contiene un conjunto de prácticas de gobierno / gestión ,

según aplique• Estos están asociados a una matriz genérica RACI: (R) Ejecutor, (A)

Responsable (quien rinde cuentas), (C): Consultado, e (I): Informado• Cada práctica de gobierno/ gestión contiene un conjunto de entradas y

salidas (llamados productos de trabajo)• Cada práctica de gobierno/ gestión esta asociada a un conjunto detallado

de actividades



• Un proceso define como un conjunto de practicasinfluenciadas por las políticas y procedimientos, que tomanentradas de varias fuentes (incluyendo otros procesos),manipula las entradas y produce salidas (p.ej., productos yservicios)

• Las prácticas de proceso se definen como la “guía”necesaria para alcanzar objetivos del proceso.

• Las actividades del proceso se definen como la “guía” paralograr prácticas de gestión para un gobierno y gestiónexitosa de las TI

• Entradas y Salidas son los productos / objetos de trabajoque se consideran necesarios para apoyar la operación delproceso



37

• Principales características de las metas de procesos:• Las metas de proceso se definen como una declaración

que describe el resultado deseado de un proceso. Unresultado puede ser un objeto, un cambio significativode estado o una mejora significativa de la capacidad deotros procesos. Estos son parte de la cascada de metasen la cual las metas del proceso se vinculan a las metasde TI, los que se vinculan a las metas corporativas. Haytres categorías:• Metas intrínsecas• Metas contextuales• Metas de accesibilidad y seguridad



• Relación entre Proceso y otros catalizadores• Los procesos necesitan información como una forma de

entrada• Los procesos necesitan estructuras organizacionales• Los procesos producen y requieren servicios,

infraestructura y aplicaciones• Los procesos dependen de otros procesos• Los procesos necesitan políticas y procedimientos que

garanticen una implementación consistente



38

• Se puede distinguir una cantidad de buenas prácticasasociadas a las estructuras organizativas como:• Principios operativos, las modalidades prácticas sobre cómo

operará la estructura, tales como la documentación de la frecuenciade las reuniones y otras normas

• Ámbito de control, los límites de la toma de decisiones de laestructura organizativa

• Nivel de autoridad, las decisiones que la estructura esta autorizadapara tomar

• Delegación de responsabilidades, la estructura puede delegar unsubconjunto de derechos de decisión a otras estructuras quereportan

• Procedimientos de escalamiento, la ruta de escalamiento para unaestructura describe las acciones requeridas en caso de problemas oimprevistos en la toma de decisiones

Habilitador 3: Estructuras organizativas


• Las buenas prácticas para crear, fomentar y mantener elcomportamiento deseado en toda la empresa incluyen:• La comunicación en toda la empresa de los comportamientos

deseados y valores corporativos (Código de ética)• La concientización del comportamiento deseado, reforzado por el

ejemplo por la Alta dirección. Esta es una de las claves para un buenambiente de gobierno cuando los directivos de alto cargo yejecutivos “predican con el ejemplo”.

• Los incentivos y las medidas disuasivas para reforzar elcumplimiento del comportamiento deseado. Hay un vínculo clarocon los esquemas de pago y recompensas de RR.HH

• Reglas y normas que proporcionen más guía y que normalmente seencuentran en un Código de ética

Habilitador 4: Cultura, ética y comportamiento


39

• Relación de las metas para la cultura, ética ycomportamiento:• La ética organizacional determina los valores por los que la

empresa quiere regirse (su código)• La ética de los individuos se determina por los valores de cada

persona, dependiente en cierta medida de factores externosque no siempre están bajo el control de la empresa

• El comportamiento individual que colectivamente determinala cultura de la empresa y que depende tanto de la éticaorganizacional como individual. Algunos ejemplos:• El comportamiento hacia la toma de riesgos• El comportamiento hacia los principios y políticas de la

empresa• El comportamiento hacia los resultados negativos, por ejemplo

los eventos de pérdida



• La relación de catalizador con otros catalizadores:• Se vincula a los procesos para imprimir el carácter cultural

en la ejecución de las actividades del proceso• Se vincula a las estructuras organizativas para la

implementación de decisiones• Se vincula a los principios y políticas para poder comunicar

los valores corporativos (p.ej., incluyendo su código de éticaen sus políticas)



40

• Importancia de las categorías y dimensiones de la calidad dela información• El concepto de criterios de información fue introducido

en COBIT 3 (2000) y desempeñó un papel clave en COBIT4.1 por haber sido capaces de mostrar cómo cumplir losrequerimientos del negocio.

• Importancia de los criterios de información• COBIT 4.1 nos presento el concepto de 7 criterios de

información clave para cumplir con los requerimientosdel negocio. Esto se ha conservado pero traducido demanera diferente.

Habilitador 5: Información


• Para satisfacer los objetivos del negocio, la informacióndebe cumplir con ciertos criterios de control, a los cualesCOBIT se refiere como requerimientos del negocio para lainformación. Basado en requisitos más amplios de calidad,fiduciario y seguridad, se definen siete criterios distintos deinformación. Estos son:

Habilitador 5: COBIT 4.1 Criterios de la información. –Requerimientos del negocio


41

• Efectividad, se refiere a la información relevante y pertinente a los procesos delnegocio, así como ser entregada de manera oportuna, correcta, consistente yutilizable.

• Eficiencia, se refiere a la provisión de información a través del uso óptimo de losrecursos de la manera más productiva y económica.

• Confidencialidad, se refiere a la protección de información confidencial de ladivulgación no autorizada.

• Integridad, se refiere a la exactitud e integridad de la información así como a suvalidez, de conformidad con los valores y expectativas del negocio.

• Disponibilidad, se refiere a la información disponible, cuando sea requerida porel proceso de negocio, en la actualidad y en el futuro. También se refiere a laprotección de los recursos necesarios y capacidades asociadas.

• Cumplimiento, se ocupa del cumplimiento de aquellas leyes, reglamentos yacuerdos contractuales alas que está sometido el proceso del negocio, es decir,criterios de negocio impuestos externamente así como las políticas internas.

• Fiabilidad, se refiere a la provisión de información adecuada para la gestión deoperar la entidad y a el ejercicio de sus responsabilidades fiduciarias y degobernabilidad.





42

Habilitador 5: Información – MetadatosCiclo de Información


Generan

Motivan

• Atributos de la información aplicados a las siguientes capas:• Capa física del mundo, donde se realizan todos los

fenómenos que pueden ser observados empíricamente• Capa empírica: la observación empírica de los signos

usados para codificar la información y su distinción eluno del otro

• Capa sintáctica: las reglas y principios para laconstrucción de oraciones en el idioma natural oartificial. La sintaxis hace referencia a la forma de lainformación



Definición: código / idioma es un atributo que identifica el canalde acceso de la información, por ejemplo, las interfaces deusuario y las reglas para la combinación de símbolos dellenguaje para formar estructuras sintácticas

43

• Atributos de la información aplicados a las siguientes capas:• Capa semántica: las reglas y principios para construir el

significado de las estructuras de sintaxis• Capa pragmática: las reglas y estructuras para la construcción

de estructuras mayores de lenguaje que cumplan finesespecíficos en la comunicación humana. Esta capa se refiereal uso de la información.

• Capa social del mundo: el Mundo que se construyesocialmente a través del uso de las estructuras del idioma enel nivel pragmático de la semiótica, por ejemplo, las leyes,regulaciones, los contratos, la cultura.

• Los usos posibles del Modelo de Información (IM) son:• Para especificaciones de la información• Se utiliza para determinar la protección requerida• Se utiliza para determinar la facilidad de uso de datos



Habilitador 5: Ejemplo de información


IM: Modelo de Información

44

Habilitador 5: Ejemplo de información


IM: Modelo de Información

• Se debe considerar la calidad contextual y representativa delos requisitos de información para el usuario, lo que incluyeque sea:• Relevante: la medida en que la información es aplicable y útil para la tarea

en cuestión.• Completo: la medida en que la información no ha desaparecido y es de

suficiente profundidad y amplitud para la tarea en cuestión.• Apropiado: la medida en que el volumen de información es apropiado para

la tarea en cuestión.• Concisa: la medida en que la información esta representada de manera

compacta.• Consistente: la medida en que la información se representa en el mismo

formato.• Comprensible: la medida en que la información es fácilmente entendible.• Fácil de manipular: la medida en que la información es fácil de manipular y

aplicar a diferentes tareas



45

• Los cinco principios de la arquitectura como guías generalesque gobiernan las implementación y el uso de los recursosde TI, como buenas prácticas. Ejemplos de tales principios:• Reutilización: se deberían utilizar componentes comunes de la arquitectura

al diseñar e implementar soluciones como parte del objetivo o lasarquitecturas de transición.

• Comprar versus construir: se deben comprar soluciones a no ser que existauna justificación aprobada para desarrollarlas internamente

• Simplicidad: la arquitectura de la empresa debe ser diseñada y mantenidatan simple como sea posible, mientras satisfaga los requerimientos de laempresa.

• Agilidad: la arquitectura de la empresa debe incorporar agilidad parasatisfacer las necesidades cambiantes del negocio de una manera eficaz yeficiente.

• Apertura: la arquitectura de la empresa debe aprovechar las estándaresabiertos de la industria

Habilitador 6: Servicios, infraestructura y aplicaciones


• Relación con otros catalizadores• Información: es una capacidad de servicio que es aprovechada a

través de los procesos para ofrecer servicios internos y externos.• Aspectos culturales y de comportamiento: relevantes cuando se

necesita construir una cultura orientada al servicio.• Proceso de entradas y salidas: la mayoría de las entradas y salidas

(productos del trabajo) de las prácticas y actividades de gestión deprocesos en el PRM incluyen capacidades de servicio.

• Considerar otros marcos de referencia como:• ITIL V3• TOGAF: proporciona un modelo de referencia de infraestructura de

información integrada

Habilitador 6: Servicios, infraestructura y aplicaciones


46

• Identificar las buenas prácticas para gestión de personas,habilidades y competencias, específicamente:• Lo requerido por diferentes niveles de habilidad para diferentes

roles.• La definición de los requisitos de habilidad para cada rol.• La asignación de categorías de habilidades para los dominios de

procesos de COBIT 5.• Las que corresponden a las actividades vinculadas a las TI, por

ejemplo, análisis del negocio, gestión de la información, etc.• Uso de fuentes externas para buenas practicas tales como:• El marco de referencia de las habilidades para la era de la

información (SFIA Foundation – Skills Framework for theInformation Age)

Habilitador 7: Personas, habilidades y competencias


• Identificar las buenas practicas para gestión de personas,habilidades y competencias, específicamente:• Lo requerido por diferentes niveles de habilidad para diferentes

roles.• La definición de los requisitos de habilidad para cada rol.• La asignación de categorías de habilidades para los dominios de

procesos de COBIT 5.• Las que corresponden a las actividades vinculadas a las TI, por

ejemplo, análisis del negocio, gestión de la información, etc.• Uso de fuentes externas para buenas practicas tales como:• El marco de referencia de las habilidades para la era de la

información (SFIA Foundation – Skills Framework for theInformation Age)



47




COBIT 5: Implementación de COBIT

48

COBIT 5 Implementación• La mejora del Gobierno Corporativo de la Tecnología de la Información

(GEIT por su sigla en inglés) ha sido ampliamente reconocida por altosdirectivos como una parte esencial del gobierno corporativo.

• La información y la presencia general de la tecnología de informaciónocupan cada día una parte más importante de todo aspecto de la vidacomercial y pública.

• La necesidad de generar más valor de las inversiones en la Tecnología y deadministrar una gama creciente de riesgos relacionados con la Tecnologíanunca ha sido mayor que ahora.

• Una regulación y legislación cada vez más estricta sobre el uso comercialde la información también impulsa una mayor concientización de laimportancia de un ambiente de TI bien gobernado y administrado.


• ISACA ha desarrollado el marco de COBIT 5 para ayudar a las compañíasa implementar unos habilitadores de gobierno sanos. De hecho, laimplementación de un buen GEIT es casi imposible sin la activación deun marco efectivo de gobierno. También están disponibles las mejoresprácticas y los estándares que soportan al COBIT 5.

• Los marcos, mejores prácticas y normas son útiles solamente si sonadoptados y adaptados de manera efectiva. Hay que superar muchosretos y resolver varios asuntos para poder implementar GEIT de maneraexitosa.

• COBIT 5: Implementación les proporciona una guía de orientaciónacerca de cómo hacerlo.

COBIT 5 Implementación (cont.)


49

• COBIT 5: Implementación cubre los siguientes asuntos:

• Posicionamiento de GEIT en la organización

• Adopción de los primeros pasos para mejorar GEIT

• Factores de éxito y retos para la implementación

• Habilitación del cambio de comportamiento y organizacionalrelacionado con el GEIT

• Implementación de una mejora continua que incluye la habilitacióndel cambio y la gestión del programa

• Uso de COBIT 5 y sus componentes.



Fuente: COBIT® 5, Figura 17. © 2012 ISACA® Todos derechos reservados.• Gestión del Programa

(anillo exterior)

• Habilitación del Cambio (anillo

medio)

• Ciclo de Vida de Mejora Continua (anillo interior)



50

• ISACA a desarrollado el marco de referencia COBIT 5 paraapoyar a las empresa a implementar el gobierno de TI através del uso de catalizadores. De hecho, implementar unGEIT adecuado es casi imposible sin ajustarse a un marco dereferencia efectivo de gobierno.

• Sin embargo, los marcos de referencia, las mejores prácticasy los estándares son útiles sólo si son entendidos yadoptados de forma efectiva. Existen desafíos culturales yorganizacionales que deben superarse y temas relevantesque deben abordarse si se desea implementar el GEIT demanera exitosa.

• El documento “COBIT 5: Implementación” proporciona unaguía de cómo hacer esto.

Implementación de COBIT 5


• ¿Cuáles son las motivaciones?

• ¿Dónde estamos ahora?

• ¿Dónde queremos estar?

• ¿Qué es preciso hacer?

• ¿Cómo conseguiremos llegar allí?

• ¿Hemos conseguido llegar allí?

• ¿Cómo mantenemos vivo el impulso?

Desafíos para el éxito


51

• Entender los factores internos y externos de la empresa yaque ellos aplican a la gestión del cambio, tales como:• Ética y cultura• Leyes, regulaciones y políticas aplicables• Misión, visión y valores• Políticas y prácticas de gobierno• Plan de negocio y perspectivas estratégicas• Modelo operativo• Estilo de gestión• Apetito de riesgo• Capacidades y recursos disponibles• Prácticas de la industria

Factores internos y externos de la empresa


• Que la organización entienda que se trata de un cambiocultural orientado a la generación de valor.

• Que la Alta Dirección respalde abiertamente la iniciativa, asícomo su compromiso continuo.

• Que todas las partes que apoyan a los procesos de gobiernoy gestión entiendan los objetivos del negocio y de TI.

• Asegurar una comunicación y habilitación efectiva de loscambios necesarios

• Adaptar COBIT y otras buenas prácticas y estándares deapoyo de modo que calcen con el contexto único de laempresa.

• Enfocarse en las ganancias rápidas (quick wins) y priorizarlas mejores, más beneficiosas que sean fáciles deimplementar.

Factores claves de éxito


52

Implementación de COBIT 5 – Fase 1


• Iniciar el programa (Gestión del programa)• Establecer el deseo de cambiar (Habilitación del cambio)• Reconocer la necesidad de actuar (ciclo de vida de mejorar

continua)

Fase 1 - ¿Cuáles son los motivos?


53

• Generalmente se reconoce la necesidad de un gobierno deTI, nuevo o mejorado, debido a los puntos débiles y/o loseventos desencadenantes

• El Directorio y la Gerencia deberían:• Analizar los puntos débiles para identificar las causas raíces• Buscar oportunidades durante los eventos desencadenantes

• La meta de esta fase del ciclo de vida incluye:• Delinear el caso de negocio• Identificar las partes interesadas, responsabilidades y roles• Una “convocatoria” general del programa de gobierno de TI y

el inicio de las comunicaciones.

Fase 1 - ¿Cuáles son los motivos?


• Iniciativas fallidas de TI.• Incremento de los costos.• Percepción de que las

inversiones en TI proporcionan un bajo valor para el negocio

• Incidentes significativos en la relación con el riesgo de las TI (ejemplo: pérdida de datos)

• Problemas en la entrega de servicios de TI.

• Falla en cumplimiento de requisitos legales, regulatorios o contractuales.

• Hallazgos de auditoria por mal

desempeño de TI• Gastos de TI ocultos o sin

justificación.• Desperdicio de recursos ante

la duplicación o superposición en las iniciativas de TI.

• Recursos de TI insuficientes.• Personal de TI agotado /

insatisfecho.• Miembros del Directorio o

gerentes seniors reacios a comprometerse con las TI.

• ……

Fase 1 – Puntos débiles típicos


54

Fase 1 – Puntos débiles típicos


• Fusión, adquisición o traspaso.

• Cambio en la posición de mercado, de economía o competitiva.

• Cambio en el modelo operativo del negocio, o contratos de provisión de recursos.

• Nuevos requisitos regulatorios o de cumplimiento.

• Cambio tecnológico

significativo o de paradigma.

• Una nueva estrategia de negocio o prioridad.

• Un enfoque o proyecto de gobierno para toda la empresa.

• Un nuevo CEO, CIO, CFO o COO.

• Auditorias externas o evaluaciones de consultores.

Fase 1 – Eventos desencadenantes relevantes


55

• Al usar puntos débiles o eventos desencadenantes como la punta de lanzamiento para las iniciativas de gobierno de TI, el caso de negocio para la mejora de GEIT puede estar relacionado con los temas a gestionar, lo que mejorará la aceptación del caso de negocio.

Fase 1 – Eventos desencadenantes relevantes


Fase 2 – ¿Dónde estamos ahora?


56

• Definir los problemas y oportunidades (Gestión delprograma)• Comprender los puntos débiles que han sido identificados como

problemas de gobierno• Tomar ventaja de los eventos desencadenantes que proporcionan la

oportunidad de mejorar

• Formar un equipo sólido (Habilitación del cambio)• Conocimiento del ambiente de negocios• Contar con una visión sobre los factores que influyen

• Revisar el estado vigente (Ciclo de vida de mejora continua).• Identificar las metas de TI respecto de las metas corporativas• Identificar los procesos más importantes• Entender el apetito de riesgo de la gerencia• Entender la madurez del gobierno existente• Identificar los procesos relacionados

Fase 2 – ¿Dónde estamos ahora?


Fase 3 – ¿Dónde queremos estar?


57

• Definir la hoja de ruta (Gestión del programa)• A alto nivel, describir los objetivos y el plan para la habilitación

del cambio

• Comunicar la visión deseada (Habilitación del cambio)• Desarrollar una estrategia de comunicación• Comunicar la visión• Articular los fundamentos y beneficios del cambio• Establecer la pauta desde la administración superior

• Definir el estado objetivo y efectuar un análisis gap (Ciclo devida de mejora continua).• Definir el objetivo de mejora• Analizar las deficiencias• Identificar las mejoras potenciales

Fase 3 – ¿Dónde queremos estar?


Fase 4 – ¿Qué es preciso hacer?


58

• Planificar el programa (Gestión del programa)• Priorizar las potenciales iniciativas• Desarrollar proyectos formales y justificables• Usar planes que incluyan la contribución y los objetivos del programa

• Potenciar a los protagonistas clave e identificar resultadosrápidos (Habilitación del cambio)• Primero deberían implementarse las iniciativas sencillas de mayor beneficio• Obtener el compromiso de los stakeholders claves afectados por el cambio• Identificar fortalezas en los procesos existentes y aprovecharlos en forma

acorde

• Diseñar y construir mejoras (Ciclo de vida de mejoracontinua).• Trazar mejoras sobre una matriz para ayudar en la priorización• Considerar enfoques, entregables, recursos necesarios, costos, escalas de

tiempo estimados, dependencias del proyecto y los riesgos

Fase 4 – ¿Qué es preciso hacer?


Fase 5 – ¿Cómo logramos llegar allí?


59

• Ejecutar el plan (Gestión del programa)• Ejecutar proyectos según un plan de programa integrado• Proporcionar reportes actualizados de manera regular a las partes

interesadas• Documentar y supervisar la contribución de los proyectos junto con

la gestión de los riesgos identificados

• Habilitar la operación (Habilitación del cambio)• Aprovechar el impulso y la credibilidad de las implementaciones

rápidas.• Planificar los aspectos culturales y de comportamiento de la

transición mayor.• Definir métricas de éxito

• Implementar mejoras (Ciclo de vida de mejora continua).• Adoptar y adaptar las mejores prácticas en función al enfoque de la

empresa a los cambios en las políticas y procesos

Fase 5 – ¿Cómo logramos llegar allí?


Fase 6 – ¿Hemos conseguido llegar?


60

• Obtener beneficios (Gestión del programa)• Monitorear el desempeño general del programa versus los objetivos

del caso de negocio• Monitorear y medir la rentabilidad de la inversión

• Incorporar nuevos enfoques (Habilitación del cambio)• Proporcionar la transición del modo proyecto al modo negocio de

manera natural• Verificar si se han asumido los nuevos roles y responsabilidades• Hacer seguimiento y evaluar los objetivos de los planes de respuesta

al cambio• Mantener y asegurar una comunicación continua entre las partes

interesadas

• Operar y medir (Ciclo de vida de mejora continua).• Establecer objetivos para cada métrica• Medir métricas contra objetivos• Comunicar resultados y ajustar las metas según sea necesario

Fase 6 – ¿Hemos conseguido llegar?


Fase 7 – ¿Cómo mantenemos vivo el impulso?


61

• Mejoras continuas: mantener el momentum (impulso) esfundamental para sostener el ciclo de vida

• Revisar la efectividad de los beneficios delprograma(Gestión del programa)

• Sostener (Habilitación del cambio)• Refuerzo consciente (recompensa por logros)• Campaña de comunicación continua (retroalimentación del

desempeño)• Compromiso continuo de la alta dirección

• Supervisar y evaluar (Ciclo de vida de mejora continua).• Identificar nuevos objetivos de gobierno basados en la experiencia

del programa• Comunicar las lecciones aprendidas y demás requisitos de mejora

para la siguiente iteración del ciclo

Fase 7 – ¿Cómo mantenemos vivo el impulso?


• Descritas las siete fases y mostrado cuales son los pasos de la gestión deprograma con que se relacionan, esta sección describe los sietehabilitadores del cambio (anillo rojo) y su relación con las siete tareas dela gestión de programa (anillo azul o exterior)

Relaciones entre los habilitadores del cambio y los pasos de la gestión del programa


62

• Ahora echemos un vistazo a la vinculación de los siete habilitadores delcambio (anillo rojo) y las siete tareas de ciclo de vida de mejora continua(anillo celeste o interior)

Relaciones entre los habilitadores del cambio y los pasos de la gestión del programa


• Las características de un buen caso de negocio• La importancia de un caso de negocio no puede ser infra o

sobrevalorada. Se debe inculcar un nivel adecuado de urgenciay las principales partes interesadas deben estar conscientes delriesgo de no tomar una acción. Una iniciativa debe serpropiedad de un patrocinador (senior), involucrar a todas laspartes interesadas claves y basarse en un caso de negocio.

• Al principio esto puede ser un caso de negocio de alto nivelque aborda los beneficios y costos estratégicos, paraposteriormente, progresar a un caso de negocio más detallado.Es una valiosa herramienta disponible para la gerencia en labúsqueda de creación de valor para el negocio.

Creación del caso de negocio


63

• Como mínimo, un buen caso de negocio debería incluir:• Los beneficios de negocios que se lograrán• Los cambios requeridos en el negocio• Las inversiones necesarias• Los costos de operación de TI• Las restricciones y dependencias derivadas de la evaluación del

riesgo• Los roles, responsabilidades y rendición de cuentas en relación

con otras iniciativas• Los mecanismos de supervisión de la inversión.

Características de un buen caso de negocio



COBIT 5: Capacidad de Procesos de COBIT

64

• Conocer los hechos, términos y conceptos relacionados con elModelo de Capacidad de Procesos, específicamente pararecordar:

• Los seis niveles de capacidad basado en ISO 15504• Los nueve atributos basados en ISO 15504• La escala de calificación basada en ISO 15504• La definición de términos clave en ISO 15504

• Entender el Modelo de Capacidad de Procesos y losconceptos básicos de ISO 15504, específicamente paraidentificar:

• Las razones para llevar a cabo una evaluación de procesos• El alcance del Programa de Evaluación de COBIT, específicamente el

propósito de las tres guías• Las diferencias entra una Evaluación de Madurez y una de Capacidad

Capacidad de procesos


• El propósito de un Modelo de Referencia de Procesos (PRM)• Cómo se utiliza un Modelo de Referencia de Procesos en el Modelo

de Evaluación de Procesos• Las características del Modelo de Referencia de Procesos, que cumple

con el estándar ISO 15504• Las diferencias entre los atributos genéricos y específicos descritos en

el Modelo de Evaluación de Procesos• Los beneficios del enfoque de Evaluación de Capacidad• Cómo se utilizan las escalas de calificación en una evaluación

Capacidad de procesos


65

• ISO/IEC 15504-4 identifica la evaluación de procesos comouna actividad que puede realizarse como parte de unainiciativa de mejora de procesos, o como parte de un enfoquede determinación de la capacidad.

• El propósito de la mejora de procesos es mejorarcontinuamente la eficacia y la eficiencia de la empresa.

• El propósito de la determinación de la capacidad de procesoes identificar los puntos fuertes, débiles y de riesgo de losprocesos seleccionados con respecto a requisitos particulares,especificado a través de los procesos utilizados y su alineacióncon las necesidades del negocio.

• Proporciona una metodología comprensible, lógica, repetible,fiable y robusta para evaluar la capacidad de los procesos deTI.

¿Qué es una evaluación de procesos?


• El enfoque del Programa de Evaluación de COBIT esconsiderado por ISACA como un método de evaluación decapacidad de procesos más robusto, confiable y repetible.

• El Programa de Evaluación de COBIT apoya:• Evaluaciones formales realizadas por asesores acreditados• Autoevaluaciones para el análisis de gaps y para la planificación

de la mejora de procesos.

• El Programa de Evaluación de COBIT permite potencialmentea una empresa obtener una evaluación independiente ycertificada alineada con el estándar ISO /IEC

Evaluación de la capacidad de procesos


66

• El programa de evaluación COBIT incluye:• Modelo de Evaluación de Procesos (PAM) usando COBIT 4.1/5.0

Presenta las bases del nuevo modelo de evaluación de capacidad de procesos con baseen la ISO 15504

• Guía del Asesor COBIT usando COBIT 4.1/5.0Provee el proceso detallado de cómo se debe realizar una evaluación por parte de unevaluador acreditado

• Guía de Autoevaluación COBIT usando 4.1/5.0Incluye una relación general de aspectos a considerar en un proceso preliminar deautoevaluación. No es un tipo de evaluación formal con base en la norma ISO 15504

• El Modelo de Evaluación de Procesos COBIT (PAM) reúne ados entidades probadas en TI, ISO e ISACA

• El nuevo Modelo de Capacidad de Procesos basado en ISO15504, reemplaza al Modelo de Madurez de Capacidad deProceso utilizado en versiones anteriores de COBIT

¿Cuál es el programa de evaluación COBIT?


• Históricamente, la mayoría de los marcos de referencia desdede COBIT, ITIL a PRINCE 2 han adoptado el enfoque CMMI deSEI (Software Engineering Institute) que combina unaEvaluación de Capacidad y una de Madurez en una solaevaluación.

• ISO 15504 sostiene que existen dos evaluacionesindependientes:

• Se realiza una Evaluación de Madurez a nivel organizacional o deempresa, y se utiliza una escala de medición diferente a unaevaluación de capacidad, así como diferentes criterios y atributos

• Una Evaluación de Capacidad se realiza a nivel de procesos y se hacepara la mejora de proceso.

Diferencias entre una evaluación de capacidad y una de madurez


67

• El nuevo Programa de Evaluación de COBIT considera:• Un proceso de evaluación sólido basado en ISO 15504• Alinea la escala del modelo de madurez COBIT con el estándar ISO

15504.• El nuevo Modelo de Evaluación basado en la capacidad incluye:

• Requisitos de proceso específicos derivados de COBIT 4.1• Habilidad de procesos para lograr los atributos de procesos basados en

ISO 15504• Requisitos de evidencia• Requisitos de calificaciones y experiencia del asesor

• Resulta en una evaluación más sólida, objetiva y repetible• Los resultados de la evaluación de capacidad probablemente

variarán respecto de los modelos de madurez existentes enCOBIT

¿Cuáles son las diferencias en un modelo CMM?


• La diferencia clave a tener en cuenta a partir de lasdefiniciones anteriores:

• Una Evaluación de Madurez se realiza a un nivel organizacionalo de empresa y utiliza una escala de medición diferente queuna evaluación de capacidad y diferentes criterios y atributos.

• Una Evaluación de Capacidad se realiza a un nivel de proceso yse hace con fines de mejora del proceso

Las diferencias de la Evaluación de Capacidad de Procesos de COBIT 4.1 y COBIT 5.0


68

• Un proceso de evaluación sólido basado en estándares ISO• Una alineación de escalas desde el modelo de madurez hacia

el estándar internacional.• Un nuevo modelo de evaluación basadas en la capacidad que

incluye:• Requisitos específicos de proceso derivados de COBIT 4.1 y

COBIT 5.0• Habilidad para lograr los atributos de proceso basado en ISO

15504• Requisitos de evidencia

• Requisitos de calificaciones y experiencia del Asesor• Resultados en una evaluación más sólida, objetiva y repetible

Ventajas del enfoque de ISO 15504


• Enfoque mejorado en el proceso que se esta evaluando, paraconfirmar que realmente esta logrando su propósito

• Se mejora la usabilidad de los resultados de evaluación decapacidad de procesos, ya que el enfoque es más rigurosospara propósitos internos y externos

• El cumplimiento de un estándar de evaluación de procesosgeneralmente aceptado y por lo tanto un fuerte apoyo por unenfoque global

Beneficios del enfoque


69

• Propósito del proceso: los objetivos medibles de alto nivel ylos resultados probables de la aplicación efectiva de laimplementación del proceso.

• Resultados del proceso: un resultado (artefacto, un cambiosignificativo del estado o la ocurrencia de las restriccionesespecificadas) observable de un proceso

• Prácticas de base: las actividades que, al realizarseconsistentemente, contribuyen al logro de la finalidad delproceso

• Producto del trabajo: un objeto asociado con la ejecución deun proceso, definido en términos de entradas y salidas delproceso

Definiciones claves de ISO 15504


COBIT 5 Modelo de Referencia de Proceso


Evaluar, Dirigir y Monitorear Procesos para el Gobierno Corporativo de TI

Procesos para la Administración de TI Corporativa

Alinear, Planear y Organizar

Construir, Adquirir e Implementar

Entregar, Servir y Dar Soporte

Monitorear, Evaluary Valorar

EDM01 Asegurarque se fija el Marco de Gobierno y su Mantenimiento

EDM02 Asegurarla Entrega de Valor


los Riesgos


los Recursos

EDM05 Asegurarla Transparencia a

las partes interesadas

APO01 Administrar el Marco de la

Administración de TI

APO02 Administrarla Estrategia

APO04 Administrar la Innovación

APO03 Administrarla Arquitectura

Corporativa

APO05 Administrar el Portafolio

APO06 Administrarel Presupuesto y los

Costos

APO07 Administrar el Recurso Humano

APO08 Administrar las Relaciones

APO09 Administrar los Contratos de

Servicios

APO11 Administrarla Calidad

APO10 Administrarlos Proveedores

APO12 Administrar los Riesgos

APO13 Administrar la Seguridad

BAI01 AdministrarProgramas y

Proyectos

BAI02 Administrarla Definición de Requerimientos

BAI04 Administrar la Disponibilidad y

Capacidad

BAI03 Administrarla Identificación y Construcción de

Soluciones

BAI05 Administrar la Habilitación del

Cambio

BAI06 Administrar Cambios

BAI07 Administrar la Aceptación de

Cambios y Transiciones

BAI08 Administrar el Conocimiento

BAI09 Administrar los Activos

BAI10 Admnistrar la Configuración

DSS01 Administrar las Operaciones

DSS02 Administrar las Solicitudes de

Servicios y los Incidentes

DSS04 Administrar la Continuidad

DSS03 Administrar Problemas

DSS05 Administrar los Servicios de

Seguridad

DSS06 Administrar los Controles en los

Procesos de Negocio

MEA01 Monitorear, Evaluar y Valorar el

Desempeño y Cumplimiento

MEA02 Monitorear, Evaluar y Valorar el Sistema de Control

Interno

MEA03 Monitorear, Evaluar y Valorar el Cumplimiento con

Requisitos Externos

70

COBIT 5 Modelo de Referencia de Proceso


Estructura del proceso• ID del Proceso: APO13• Nombre del proceso: Gestionar la Seguridad• Descripción del proceso: definir, operar y monitorear un sistema para

gestión de seguridad de la información• Propósito del proceso: Mantener el impacto y la incidencia de la

existencia de los incidentes de seguridad de la información dentro de losniveles de apetito de riesgos de la empresa

• Resultados:• APO 13-01• APO 13-02• APO 13-03

• Practicas base (BP):• APO13-BP01• APO13-BP02

• Salidas (producto del trabajo):• APO13-WP1• APO13-WP2

Alcance del PAM• Un modelo de Evaluación de Procesos toma uno o más

proceso del Modelo de Referencia de Procesos, como basepara la obtención de evidencia y calificación de la capacidadde los mismos

• Un modelo de Evaluación de Procesos deberá abordar, paraun proceso determinado, todos, o un subconjunto continuode niveles (a partir del nivel 1) del marco de referencia demedición de capacidad de procesos para cada uno de losprocesos dentro de su alcance

Modelo de Evaluación de Procesos


71

• ISO 15504 define dos niveles:• Una dimensión de Capacidad de procesos (niveles 1 a 5) basada

e indicadores de atributo de procesos (PAI) que tratanúnicamente con atributos genéricos

• Una dimensión de Proceso que contiene indicadoresadicionales para las evaluaciones de desempeño de procesosbasados en indicadores de desempeño muy específicos

• El modelo de Referencia de Procesos se utiliza solo para ladimensión de Proceso en el Nivel 1. Los niveles 2 a 5 se centransolo en la dimensión de Capacidad basadas en atributosgenéricos

Modelo de Evaluación de Procesos


Evaluación de procesos con COBIT 5 PRM


72

Evaluación de procesos con COBIT 5 PRM


• Un modelo de Evaluación de Procesos proporcionará unmapeo explicito a partir de los elementos relevantes delmodelo para los procesos seleccionados del PRM y a losatributos de proceso relevantes del marco de referencia demedición.

• El mapeo será completo, claro e inequívoco. El mapeo de losindicadores dentro del Modelo de Evaluación de Procesosconsideran:

• Los propósitos y los resultados de los procesos en el Modelo deReferencia de Procesos especificado

• Los atributos de proceso (incluyendo todos los resultados de logroslistados para cada atributo del proceso) en el marco de referencia demedición

Mapeo con PRM


73

Niveles de Capacidad de Proceso




74





75

• El proceso de Evaluación de COBIT mide el grado en que undeterminado proceso logra atributos específicos en relacióncon ese proceso: “Atributos de Proceso”

• El Proceso de Evaluación de COBIT define 9 atributos deProcesos (basado en ISO/IEC 15504-2)

• PA1.1 Desempeño del proceso• PA2.1 Gestión del desempeño• PA2.2 Gestión de productos de trabajo• PA3.1 Definición del proceso• PA3.2 Despliegue del proceso• PA4.1 Medición del proceso• PA4.2 Control del proceso• PA5.1 Innovación del proceso• PA5.2 Optimización continua del proceso

Marco de referencia de medición


• Existe la necesidad de asegurar un grado coherente deinterpretación a la hora de decidir qué calificación asignar.La tabla establece los niveles de calificación en términos deescala de calificación y dichas calificaciones se tradujeron enuna escala de porcentaje que muestra el grado de logro.

Escala de calificación de atributos de proceso


76

• El proceso de Evaluación de COBIT mide el grado en que undeterminado proceso logra los “Atributos de Proceso”

• N (No Alcanzado) – Hay muy poca o ninguna evidencia de que sealcanza el atributo definido en el proceso de evaluación.

• P (Parcialmente Alcanzado) – Hay alguna evidencia de aproximacióna, y algún logro del atributo definido en el proceso evaluado. Algunosaspectos del logro del atributo pueden ser impredecibles.

• L (Ampliamente Alcanzado) – Hay evidencias de un enfoquesistemático y de un logro significativo del atributo definido en elproceso evaluado. Pueden encontrarse algunas debilidadesrelacionadas con el atributo en el proceso evaluado.

• F (Completamente Alcanzado) – Existe evidencia de un completo ysistemático enfoque y un logro completo del atributo definido en elproceso evaluado. No existen debilidades significativas relacionadascon el atributo en el proceso evaluado.

Escala de calificación de atributos de proceso



COBIT 5: Actividades del proceso de Evaluación

77

1. Inicio

2. Planificación de la evaluación

3. Instrucciones

4. Recopilación de datos

5. Validación de datos

6. Clasificación del atributo de proceso

7. Informe de los resultados

1. Actividades del Proceso de Evaluación


• Identificar al patrocinador y definir el propósito de laevaluación ¿para qué se realiza?

• Definir el alcance de la evaluación:– Cuáles son los procesos que se están evaluando

– Qué restricciones, si las hay, aplican a la evaluación

• Identificar cualquier información adicional que se requierereunir

• Seleccionar a los participantes de la evaluación, el equipode evaluación y definir los roles de los miembros delequipo

• Definir entradas y salidas de la evaluación:– Tenerlas aprobadas por el patrocinador

1. Inicio


78

• Un plan de evaluación que describe todas las actividades aejecutarse en la realización de la evaluación es:– Desarrollado y

– Documentado junto con

– Un cronograma de evaluación

• Identificar el alcance del proyecto

• Garantizar los recursos necesarios para realizar laevaluación

• Determinar el método para recopilar, revisar, validar ydocumentar la información necesaria para la evaluación

• Coordinar las actividades de evaluación con el área(Unidad Organizacional) que se está evaluando.

2. Planificación de la evaluación


• El líder del equipo de evaluación asegura que el equipo deevaluación comprende la evaluación, en relación a:– Entradas

– Proceso y

– Salidas

• Informar a la Unidad Organizacional sobre el desarrollo dela evaluación:– El PAM, alcance de la evaluación, el cronograma de actividades,

limitaciones, roles y responsabilidades, necesidades de recursos,etc.

3. Información


79

• El asesor logra (y documenta) un entendimiento de los procesos,incluyendo el propósito, entradas, salidas y productos de trabajodel proceso, suficientes para habilitar y apoyar la evaluación.

• Los datos necesarios para la evaluación de los procesos dentrodel alcance de la evaluación se recogen de manera sistemática.

• Explícitamente, se identifican y demuestran la estrategia ytécnicas para la selección, recopilación, análisis de datos y lajustificación de las calificaciones.

• Cada proceso identificado en el alcance de la evaluación seevalúa sobre la base de evidencia objetiva:– La evidencia objetiva reunida para cada atributo de cada proceso de

evaluación debe ser suficiente para cumplir el alcance y propósito dela evaluación

– La evidencia objetiva que apoya el juicio de los asesores de lascalificaciones de atributo de proceso se registra y se mantiene en elRegistro de la Evaluación.

4. Recopilación de datos


• Se toman acciones para asegurar que los datos seanexactos y cubran lo suficiente el alcance de la evaluación,incluyendo:– Búsqueda de información de primera mano, fuentes

independientes

– El uso de los resultados de evaluaciones anteriores y

– Organizar sesiones de retroalimentación para validar lainformación recogida

• Es posible (y deseable) validar los datos mientras estos seestán recolectando.

5. Validación de datos


80

• En cada proceso evaluado, se asigna una calificación paracada atributo de proceso, lo que puede llegar al más altonivel de capacidad definido en el alcance de la evaluación.

• La calificación se basa en datos validados en la actividadanterior

• Se mantendrá trazabilidad entre la evidencia objetivarecogida y las calificaciones de atributos de procesoasignadas

• Para cada atributo de proceso calificado, se registra larelación entre los indicadores y la evidencia objetiva

6. Calificación de atributos de proceso


• Los resultados de la evaluación son analizados ypresentados en un informe.

• El informe también cubre cualquier situación claveplanteada durante la evaluación tales como:– Las áreas fuertes y débiles observadas

– Resultados de alto riesgo, es decir, la magnitud del gap entre lacapacidad evaluada y la capacidad deseada y/o requerida

7. Informe de los resultados


81

• Funciones de Evaluación de Procesos COBIT– Asesor Líder: un asesor competente responsable de supervisar las

actividades de evaluación

– Asesor: profesional que realiza las actividades de evaluación y estádesarrollando competencias de asesor.

• Competencias del Asesor:– Conocimiento, habilidades y experiencia:

• En el Modelo de Referencia de Procesos (PRM), el Modelo deEvaluación de Procesos (PAM), métodos y herramientas, procesos decalificación, entre otros.

• En los procesos/dominios que se están evaluando.

• Atributos personales que contribuyen a un desempeño efectivo

Certificación del Asesor



COBIT 5: Productos Futuros de Apoyo

82


COBIT®


Profesionales



COBIT®

5: Procesos Habilitadores

Otras Guías

Habilitadoras

COBIT ® 5


COBIT®

5 Para la Seguridadde la Información

COBIT ® 5


COBIT®

5 Para Riesgos

COBIT®

5:


La Familia de Productos de COBIT 5


COBIT 5 Productos Futuros de ApoyoProductos Futuros de Apoyo:

• Guías Profesionales de Orientación:

• COBIT 5 para la Seguridad de Información

• COBIT 5 para el Aseguramiento

• COBIT 5 para Riesgos

• Guías de Orientación de los Habilitadores:

• COBIT 5: Información Habilitadora

• COBIT En Línea Reemplazo

• COBIT Programa de Evaluación:

• Modelo de Evaluación de Procesos (PAM): Usando COBIT 5

• Guía para Asesores: Usando COBIT 5

• Guía de Auto-Evaluación: Usando COBIT 5

© ISACA 2012. El presente trabajo así como cualesquier derivados del mismo no podrá ser ofrecido para la venta, ni solo ni como parte de ninguna otra publicación o producto.


83

COBIT 5 for (Information) Security: la novedad …


COBIT®


Profesionales



COBIT®

5: Procesos Habilitadores

Otras Guías

Habilitadoras

COBIT ® 5


COBIT®

5 Para la Seguridadde la Información

COBIT ® 5


COBIT®

5 Para Riesgos

COBIT®

5:


Familia de Productos COBIT 5 – un nuevo miembro



84

• COBIT 5 toma como base el modelo relacional que utiliza BMIS (Business Model for Information Security), incorporando su visión integral y sus componentes a la nueva versión


COBIT 5 – Integra los componentes del BMIS


Introducción al BMISModelo de negocios para la Seguridad de la Información

⁻ Presenta un enfoque integral y orientado al negocio para la gestión de la seguridad de la información

⁻ Establece un lenguaje común para referirse a la protección de la información

⁻ Desafía la visión convencional de la inversión en seguridad de la información

⁻ Explica en forma detallada el modelo de negocio para gestionar la seguridad de la información, invitando a utilizar una perspectiva sistémica

⁻ Información (en inglés) disponible en: www.isaca.org/bmis



85

⁻ Varios de los componentes del BMIS han sido integrados al COBIT 5, como habilitadores que interactúan y respaldan la gestión en la organización para alcanzar sus objetivos de negocio y crear valor.

⁻ Estos componentes son:

• Organización

• Procesos

• Personas

• Factores Humanos

• Tecnología

• Cultura

• Habilitación y soporte

• Gobierno

• Arquitectura

• “Emergence”


COBIT 5 – Integra los componentes del BMIS



COBIT 5 y la Seguridad de la Información


86

- Se proyecta como una guía específica para los profesionales de laSeguridad de la Información y otros interesados

- Se construye sobre el marco del COBIT 5, un enfoque robustopara el gobierno y la gestión de la seguridad de la información,sobre la base de los procesos de negocios de la organización

- Presentará una visión extendida del COBIT 5 , que explica cadauno de sus componentes desde la perspectiva de la seguridad

- Creará valor para todos los interesados a través de explicaciones,actividades, procesos y recomendaciones

- Propondrá una visión del gobierno y la gestión de la seguridad dela información mediante una guía detallada para establecerla,implementarla y mantenerla, como parte de las políticas, procesosy estructuras de la organización.

COBIT 5 for (Information) Security


• Principales contenidos:

– Directrices sobre los principales drivers y beneficios de laseguridad de la información para la organización

– Aplicación de los principios de COBIT 5 por parte de losprofesionales de la seguridad de la información

– Mecanismos e instrumentos para respaldar el gobierno y lagestión de la seguridad de la información en laorganización

– Alineamiento con otros estándares de seguridad de lainformación



87

• Estado actual del COBIT 5 for (Information) Security:

– Se distribuyó un borrador a un grupo de expertos en lamateria (SME) en enero de 2012.

– Durante el mes de febrero, el equipo “COBIT SecurityTask Force” de ISACA revisará e incorporará el feedbacken el texto.




¡Gracias por su Atención!

CURSO COBIT® 5.0 FUNDAMENTOS - · PDF fileentre la realización de beneficios y la...

Documents

Transcript of CURSO COBIT® 5.0 FUNDAMENTOS - · PDF fileentre la realización de beneficios y la...